Closed wesselvanderlinden closed 3 years ago
The immer package is currently at version 8.0.1, but the constraint inside package.json prevents users from installing version newer than 5.x.
immer
8.0.1
package.json
Also the command npm audit outputs several warnings about security vulnerabilities inside dependencies:
npm audit
=== npm audit security report === # Run npm install --save-dev ts-jest@26.5.1 to resolve 1 vulnerability SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ yargs-parser │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ts-jest [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ts-jest > yargs-parser │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1500 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install immer@8.0.1 to resolve 1 vulnerability SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ immer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ immer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ immer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1603 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ yargs-parser │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ dtslint [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ dtslint > dts-critic > yargs > yargs-parser │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1500 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 3 vulnerabilities (2 low, 1 high) in 574 scanned packages 2 vulnerabilities require semver-major dependency updates. 1 vulnerability requires manual review. See the full report for details.
The
immer
package is currently at version8.0.1
, but the constraint insidepackage.json
prevents users from installing version newer than 5.x.Also the command
npm audit
outputs several warnings about security vulnerabilities inside dependencies: